Adobe-Datenklau: Passwörter von Adobe-Kunden in Gefahr
Der Datenklau bei Adobe ist schlimmer als befürchtet.
Bild: Adobe
Das Ausmaß des Server-Hacks auf Adobe werden immer größer. Das berichtet das Magazin t3n.
Zunächst hieß es noch, es seien lediglich 2,9 Millionen verschlüsselte Datensätze betroffen gewesen. Ende Oktober zeigte sich, dass insgesamt 150 Millionen Datensätze von Kunden von den Servern entwendet wurden.
Nun wird deutlich: Die gestohlenen Passwörter können vermutlich rekonstruiert werden, da Adobe untaugliche Maßnahmen zur Speicherung der Zugangsdaten verwendet hat. In der Datenbank finden sich unverschlüsselt die E-Mail-Adresse, der Passworthinweis sowie eine verschlüsselte Zeichenkette mit dem Passwort.
Die Quintessenz lautet: Jeder, der sein Passwort für die eigene Adobe-ID auf anderen Webseiten verwendet, sollte es unbedingt und schnellstens bei allen anderen Web-Diensten ändern. Selbst ein langes und kompliziertes Passwort ist - sofern es im geklauten Datensatz enthalten ist - kompromittiert.
Adobe-Daten: Passwörter waren unsicher verschlüsselt gespeichert
Der Datenklau bei Adobe ist schlimmer als befürchtet.
Bild: Adobe
Da die Passwörter nicht mit einem zusätzlichen zufälligen "Salt" verschlüsselt sind, haben alle identischen Passwörter den gleichen "Hash". Ein zusätzlicher "Salt" würde diesen Aspekt ausräumen. Daneben bietet Adobe auch Passwort-Hinweise an. In diesen können Nutzer sich selbst einen Hinweis auf das Passwort geben - Manche nutzen dies dafür, das Passwort dort direkt oder leicht erschließbar zu vermerken. Deswegen sind auch die ersten Passwörter aus den Adobe-Daten bereits entschlüsselt. Die Top-Adobe-100-Passwörter
[Link entfernt]
sind bereits bekannt. Laut dieser Liste haben beinahe 2 Millionen Nutzer das Passwort "123456" verwendet.
Auch wir konnten zunächst nicht beurteilen, ob die Adobe-Daten von den E-Mails abgesehen zu verwenden sind. Nun steht allerdings fest, dass die Daten zu entschlüsseln sind. Der Verzicht auf "Salts" dürfte Angreifern dabei helfen, über kurz oder lang die Passwortliste zu entschlüsseln. t3n weist zusätzlich darauf hin, dass diese Daten aufgrund des Umfangs wertvoll für künftige Wörterbuch-Attacken sein können.
Wer Passwörter auf mehreren Webseiten verwendet, sollte dies überdenken. Als Ersatz bieten sich zum Beispiel Passwort-Manager an. Wir bereiten eine Übersicht über diese Erinnerungsstützen vor.
Adobe selbst hält noch an der Darstellung von Anfang Oktober fest und weist darauf hin, man könne keine verdächtigen Aktivitäten bei den Adobe-IDs feststellen - das verwundert nicht, zumal sämtliche Passwörter nach eigener Auskunft zurückgesetzt wurden. Über andere Webseiten macht Adobe keine Angaben, es besteht aber die Möglichkeit, dass die Passwort-Diebe die Kombination aus E-Mail-Adresse und Passwort bei anderen Web-Diensten ausprobieren.